Es ist Cybersecurity Month und wir aus der IT-Security Bubble versuchen, Nutzerinnen und Nutzer einen Monat lang lauter als sonst für sicheres Verhalten zu motivieren. Das ist gut so, denn laut Verizon Data Breach Investigations Report wurden 2022 84% der Datenabflüsse von Mitarbeitenden verursacht. Die Informationssicherheits-Branche hat sich so professionalisiert, dass es inzwischen viel einfacher ist, Menschen statt IT-Systeme zu hacken. Wir brauchen also nicht nur Fachleute, die Systeme sichern können. Wir brauchen auch Fachleute, deren methodisches Handwerk es ist, Menschen zu sensibilisieren, Wissen zu vermitteln, ihre Einstellung und im besten Fall ihr Verhalten zu ändern.

Dieses Handwerk ist interdisziplinär: Es gründet in der Psychologie, Pädagogik, Kommunikation und im Marketing. 72% der Verantwortlichen für IT Security Awareness haben jedoch einen rein technischen Hintergrund und haben sich nur bedingt Wissen aus diesen Fachgebieten angeeignet (SANS Security Awareness Report 2022). Als eine der restlichen 28% habe ich vier praktische Grundsätze zusammengestellt, die sich in meinen 15 Jahren Kommunikationserfahrung bewährt haben.

Wen will ich erreichen? Es gibt viele Begriffe mit leicht unterschiedlichen Bedeutungen im Marketing und in der Kommunikation: Zielgruppen, Stakeholder oder Anspruchsgruppen. Vereinfacht gesagt: Mit wem rede ich? Meistens mit mehr als einer Gruppe, oft mit sehr unterschiedlichem Hintergrund.

Bevor ich eine Massnahme plane, überlege ich mir, wen genau ich informieren, zu einer Aktion motivieren oder sogar langfristig zur Verhaltensänderung bewegen möchte. Jede Gruppe wird in der Regel anders angesprochen, um die Botschaften möglichst so zu kommunizieren, dass sie verstanden und auch angenommen werden.

Anders gesagt: Der Köder muss dem Fisch schmecken. Wenn ich als Anglerin statt des fetten Wurms lieber die schlechte Attrappe verwende, kümmert das den Fisch nicht. Er wird schlicht nicht anbeissen. Klar ist es dann das einfachste, den Fisch zu beschuldigen, weil das dumme Viech vorbeischwimmt. Letztlich will aber doch ich etwas vom Fisch. Also hilft es mir, mich doch mal mit seinen Futtervorlieben auseinanderzusetzen.

Es gibt aufwendige, professionelle Verfahren, um herauszufinden, welchem Fisch welcher Köder mundet. Ein einfaches Rezept: sich eine Person vorstellen, deren Hintergrund ich kenne, weiss wie ihr Alltag aussieht. Je konkreter, desto besser.

Eine neue Richtlinie ist kein motivierender Grund, sein Verhalten zu ändern. Die Richtlinie wird ja auch nicht um ihrer selbst willen implementiert, sondern dient dem eigentlichen Ziel, die Organisation, das Kernbusiness zu schützen.

Warum ist Ihr Kernbusiness wichtig? Wie verändern die Mitarbeitenden im Kleinen die Welt? Welche Probleme lösen sie als Organisation? In einer positiven Organisationskultur sind Mitarbeitende stolz auf den kleinen Beitrag, den sie zum grossen Ganzen leisten und erachten ihre Arbeit als sinnvoll. Wenn die neue Sicherheitsrichtlinie von diesem "Warum" abgeleitet wird, kann sie eher als Teil der Arbeit, als Teil des grossen Ganzen eingeordnet werden. Und damit stehen die Chancen besser, dass sie umgesetzt wird.

Simon Sinek, Autor des Marketingklassikers "Start With Why", beschreibt das in seinem Ted Talk "How great leaders inspire action". Das Konzept nennt er den Golden Circle. Er fängt beim Kern an und kommuniziert nach Aussen: Why, how, what. Ein einfaches Rezept, das sich als Leitfaden verwenden lässt.

Nicht Englisch, Deutsch oder Französisch sind hier gemeint, sondern Sprache als Grundlage unserer Kommunikation, Kultur und Identität. Teenager auf einer Party, Fachleute in Forschungsgruppen, Politikerinnen und Politiker im Bundesrat sprechen vielleicht alle Deutsch, aber doch mit anderem Klang, anderen Gesten und anderen Begriffen. Über Sprache definieren wir uns als Teil einer Gruppe, einer Kultur. Wie wir mit wem sprechen, passiert meist unterbewusst und folgt dem Grundbedürfnis, dazuzugehören.

Jede Organisation hat eine eigene Sprache, eine eigene Kultur, ein eigenes "Wir". Siezen Sie Ihre Mitarbeitenden? Wie viele Begriffe gibt es in Ihrem Unternehmen, die für Aussenstehende keine Bedeutung haben? Benutzen Sie Humor oder sind Meldungen eher ernst und sachlich? Liegt eine starke hierarchische Struktur vor oder ist es ok, sich direkt an Vorgesetzte zu wenden? Wie wir die Botschaften in Sprache verpacken, damit sie aufgenommen und gehört werden, kommt genau darauf an.

Sind Sie Teil eines stark konservativen Unternehmens, würden Sie die Intranetmeldung zu den angepassten Passwortregeln höchst wahrscheinlich nicht mit einem Witz starten und auch kein lustiges Meme als Eyecatcher hinzufügen. Sie würden vielmehr einen sachlichen Text mit wenig Ausrufezeichen verfassen.

"Warum machen die das immer noch nicht? Wir haben doch schon 2 E-Mails geschrieben, es gibt dazu ein eLearning Modul und die Tests!" Nun ja, die Verhaltensforschung hätte da die eine oder andere Erklärung. Ein spannendes, interdisziplinäres Feld, das nicht zu meinem Fachgebiet gehört. Trotzdem wage ich mich aus der Kommunikationsperspektive heran.

Wer Kampagnen professionell aufgleist und führt, weiss: Verhalten zu ändern ist die absolute Kür und braucht unglaublich viele Ressourcen und noch mehr Zeit. Schauen Sie sich das viel benutzte Beispiel der Einführung des Sicherheitsgurtes an. Es hat jahrelange gut finanzierte Kampagnen und dann doch ein Gesetz gebraucht, um Autofahrerinnen und Autofahrer davon zu überzeugen, sich anzuschnallen. Und da ging es sogar noch ums eigene Leben. Auf dem langen Weg zur Verhaltensänderung gibt es einige Stationen. Vereinfacht zusammengefasst:

Und zu guter Letzt: Selbst wenn wir es besser wissen, sind wir manchmal faul und inkonsequent. Oder wie oft trinken Sie eine Cola oder ein zweites Bier, obwohl sie diese Woche eigentlich auf ihre Gesundheit achten wollten? Da hilft nur eins: Verständnis – oder den Köder noch schmackhafter machen.

Cornelia Puhze ist IT-Security-Awareness-Spezialistin bei Switch. Als Teil von Switch-Cert unterstützt sie die Schweizer Bildungs-, Forschungs- und Innovationsgemeinschaft den "Faktor Mensch" in der Informationssicherheit wirksam zu adressieren. Gerüstet mit einem MA in Political Communications, lernte sie ihr Handwerk in Privatwirtschaft, öffentlichem Sektor und NGOs in Zürich und London.